主頁（http://www.130131.com）：摩托羅拉無線網(wǎng)絡(luò)基于角色認(rèn)證的安全應(yīng)用方案

暨某廠辦公區(qū)域無線網(wǎng)絡(luò)覆蓋方案

上海敏照計(jì)算機(jī)科技有限公司     黃升新

 一、客戶需求分析

相對于傳統(tǒng)的有線網(wǎng)絡(luò)，無線網(wǎng)絡(luò)因其布置便捷、靈活及優(yōu)越的可拓展性得到越來越多的企業(yè)的青睞。同時(shí)隨著無線網(wǎng)絡(luò)技術(shù)的發(fā)展，之前受人質(zhì)疑的速度和安全性都已經(jīng)有了很大的改善，因此這兩項(xiàng)已經(jīng)不再是無線網(wǎng)絡(luò)進(jìn)一步推廣的技術(shù)瓶頸。而且隨著越來越多的廠商對新品的不斷推出，為企業(yè)的無線應(yīng)用提供了更多選擇的機(jī)會(huì)，同時(shí)無線覆蓋的成本也較以往大大的降低。但選擇合適的無線產(chǎn)品和擁有一套完善的無線解決方案仍舊是無線應(yīng)用及推廣的成功關(guān)鍵。

 為了給員工和訪客提供便捷的網(wǎng)絡(luò)接入，我們計(jì)劃在該廠的辦公區(qū)域和訪客區(qū)域?qū)嵤�無線網(wǎng)絡(luò)覆蓋。初步的無線規(guī)劃是針對目前全廠的訪客區(qū)域進(jìn)行無線網(wǎng)絡(luò)覆蓋。目前全部訪客區(qū)域包括以下各廠：F1、 F2、 F4、 F6、 F7、 QBUS、H1 和 H2。各廠區(qū)的具體覆蓋范圍為各廠區(qū)的大廳會(huì)議室和廠區(qū)內(nèi)部會(huì)議室。具體的應(yīng)用需求如下：

大廳會(huì)議室要求發(fā)送兩個(gè)無線ESSID：Staff 和 Guest。其中 Staff 供內(nèi)部員工（包括普通員工和VIP 員工）使用； Guest 供到訪的來賓使用。

廠內(nèi)辦公區(qū)域部分發(fā)送一個(gè)ESSID： Staff 供內(nèi)部員工使用（包括普通員工和VIP 員工），訪客用戶無權(quán)通過 Staff 使用內(nèi)部網(wǎng)絡(luò)。其中普通員工在大廳會(huì)議室或在廠內(nèi)辦公區(qū)域通過 Staff 只能訪問訪問內(nèi)部網(wǎng)絡(luò)，無權(quán)訪問Internet；VIP 員工通過 Staff 既可以訪問內(nèi)部網(wǎng)絡(luò)也可以訪問Internet。當(dāng)員工通過 Staff 這個(gè)ESSID 連接到網(wǎng)絡(luò)時(shí)，無需提供無線連接密碼，便可自動(dòng)獲取到公司內(nèi)部網(wǎng)段IP 地址。此時(shí)還無權(quán)訪問任何內(nèi)部資源。當(dāng)員工打開一個(gè)網(wǎng)頁時(shí)，自動(dòng)顯示無線網(wǎng)絡(luò)登陸驗(yàn)證畫面。員工輸入公司內(nèi)部的AD 賬號(hào)和密碼后方可登陸無線網(wǎng)絡(luò)。之后員工就可以正常公司的內(nèi)部網(wǎng)絡(luò)，而VIP 員工在訪問內(nèi)部網(wǎng)絡(luò)的同時(shí)還可以訪問Internet網(wǎng)絡(luò)。

 而訪客到大廳會(huì)議室時(shí)，先到前臺(tái)獲取一組無線網(wǎng)絡(luò)訪問的用戶名和密碼。訪客通過無線網(wǎng)絡(luò)先獲取到一個(gè)非內(nèi)部網(wǎng)段的私有IP 地址。打開網(wǎng)頁時(shí)，出現(xiàn)無線網(wǎng)絡(luò)登陸驗(yàn)證畫面，輸入從前臺(tái)獲取的用戶名和密碼后，則可正常訪問Internet，但無權(quán)訪問內(nèi)部網(wǎng)絡(luò)。

二、無線覆蓋方案介紹

1. 方案應(yīng)用介紹

為了實(shí)現(xiàn)內(nèi)部員工和訪客對無線網(wǎng)絡(luò)的使用需求，本技術(shù)方案主要會(huì)應(yīng)用到以下幾個(gè)技術(shù)要點(diǎn)：

 無線訪問的使用者權(quán)限要和內(nèi)部的活動(dòng)目錄（ActiveDirectory） 整合

為了控制不同的內(nèi)部員工的無線訪問權(quán)限，在進(jìn)行無線登陸驗(yàn)證時(shí)，員工輸入自己在公司內(nèi)部分配的活動(dòng)目錄中的賬號(hào)。驗(yàn)證服務(wù)器根據(jù)不同的賬號(hào)傳遞給無線控制器相關(guān)的賬號(hào)信息，而無線控制則根據(jù)預(yù)先設(shè)定好的不同使用者權(quán)限進(jìn)行驗(yàn)證和區(qū)分。

 利用Windows 本身的驗(yàn)證服務(wù)器（IAS）來整合活動(dòng)目錄和無線控制器的賬號(hào)

為了整合活動(dòng)目錄中的使用者賬號(hào)和無限控制對不同賬號(hào)的使用權(quán)限進(jìn)行控制，需要用到Radius 服務(wù)器來整合賬號(hào)的認(rèn)證和權(quán)限的控制。雖然目前第三方的Radius 服務(wù)器也有很多，如cisco 的ACS、TekRadius、WinRadius 等等， 但Windows Server2003 系統(tǒng)本身自帶的IAS 作為Radius 有其必然的優(yōu)越性。IAS 作為Microsoft 本身的一款服務(wù)器系統(tǒng)能夠很好的和Windows 活動(dòng)目錄進(jìn)行整合，而且沿用windows 所有產(chǎn)品的方便操作、容易上手的特點(diǎn)為部署IAS 提供了很好的條件。

 在活動(dòng)目錄中對不同的內(nèi)部員工分成兩個(gè)組一個(gè)是普通員工組（StaffGroup），另外一組是特權(quán)用戶組（VIPGroup）。把只能訪問內(nèi)部網(wǎng)絡(luò)而不能訪問Internet 的內(nèi)部員工加入到StaffGroup中；把既能夠訪問內(nèi)部網(wǎng)絡(luò)又需要訪問Internet 的內(nèi)部員工加入到VIPGroup 中。在IAS 中設(shè)定不同的訪問策略來區(qū)分StaffGroup 和VIPGroup 的訪問權(quán)限，并把不同組的ID 號(hào)傳遞給無限控制器來處理。

 利用無線控制器的角色（Role）功能來區(qū)分不同的Windows 賬號(hào)的訪問網(wǎng)絡(luò)權(quán)限

通過購買高級角色安全證書可以激活無線控制器的角色（Role） 管理功能。在無線控制其中設(shè)定不同的組，這些組和活動(dòng)目錄中的組一一對應(yīng)。當(dāng)IAS 根據(jù)不同的訪問者組傳遞回不同的組ID （GroupID）時(shí)，利用角色管理功能，無線控制可以接收這些不同的GroupID。并根據(jù)不同的GroupID 和訪問列表進(jìn)行綁定，從而達(dá)到不同使用者組訪問不通網(wǎng)絡(luò)的目的。

 利用核心無線控制器的本地的驗(yàn)證服務(wù)器來來驗(yàn)證訪客的使用權(quán)限

無線控制器本身提供了內(nèi)置的驗(yàn)證服務(wù)器功能，這可以為訪客系統(tǒng)提供相關(guān)的訪客賬號(hào)信息。前臺(tái)工作人員可以根據(jù)管理提供的賬號(hào)和密碼登陸無線控制，無限控制器根據(jù)前臺(tái)工作人員賬號(hào)權(quán)限提供給前臺(tái)創(chuàng)建訪客賬號(hào)權(quán)限。通過簡單且易操作的賬號(hào)設(shè)置畫面，前臺(tái)可以為訪客打印一張含有訪客賬號(hào)信息的卡片，卡片中包含了賬號(hào)、密碼及可訪問的時(shí)間段等信息。訪客可根據(jù)這張賬號(hào)卡片方便的訪問的無線網(wǎng)絡(luò)。

利用無線控制器的角色（Role）功能來區(qū)分不同的Windows 賬號(hào)的訪問網(wǎng)絡(luò)權(quán)限
(中國集群通信網(wǎng) | 責(zé)任編輯：陳曉亮)